Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Samedi 11 juillet 2026
RGPD

Scraping et RGPD : ce qui est permis en 2026

Scraping de données personnelles et RGPD : licéité, information Art. 14, affaire Clearview, prospection interdite, entraînement d'IA. Le cadre 2026.

L’essentiel. Le fait qu’une donnée soit publiquement accessible ne la rend pas librement réutilisable. Le scraping de données personnelles est un traitement soumis au RGPD : il exige une base légale (le plus souvent l’intérêt légitime, avec triple test), le respect de la minimisation, l’exclusion des données sensibles — et surtout l’information des personnes au titre de l’article 14, l’obligation la plus systématiquement violée. La prospection issue de données scrapées est en principe illicite sans consentement, et l’entraînement d’IA sur données scrapées obéit à des règles spécifiques.

« Ces données sont publiques, donc je peux les utiliser. » C’est la phrase que j’entends le plus souvent dès qu’il est question de scraping, de la part de dirigeants comme de développeurs. Elle est fausse. Le RGPD ne connaît pas d’exception pour les données personnelles accessibles au public : un profil LinkedIn, un avis client signé, un numéro de téléphone affiché sur un site professionnel restent des données personnelles, et leur aspiration automatisée est un traitement à part entière. Le considérant 26 du RGPD est limpide : le règlement s’applique dès qu’il y a des données personnelles, sans distinguer selon qu’elles ont été rendues publiques ou non.

Le scraping — l’extraction automatisée de données depuis des sites web ou des API — irrigue aujourd’hui des pans entiers de l’économie : constitution de bases de prospection, veille concurrentielle, agrégation d’avis, et désormais l’entraînement de modèles d’intelligence artificielle générative. Dans ma pratique, c’est un sujet à haut risque : la technique est simple, les tentations fortes, et la sanction potentiellement lourde. Cet article pose le cadre applicable en 2026 et les conditions, étroites mais réelles, d’un scraping défendable.

« Public » ne veut pas dire « libre »

La première erreur consiste à confondre accessibilité et liberté d’usage. Une donnée peut être visible sans être réutilisable à toute fin. Trois couches de droit se superposent, et le RGPD n’est que l’une d’elles.

Sur le terrain de la protection des données, la publicité de la donnée ne supprime aucune obligation. Il faut une base légale, une finalité déterminée, la minimisation, l’information des personnes, le respect de leurs droits. La CNIL l’a répété : la collecte de données personnelles sur des sites web, même librement consultables, constitue un traitement soumis au RGPD.

Au-delà du RGPD, d’autres régimes peuvent s’appliquer. Les conditions générales d’utilisation d’un site peuvent interdire l’extraction automatisée. Le droit du producteur de bases de données (droit sui generis) peut protéger une base contre l’extraction d’une partie substantielle de son contenu. Les dispositions du code pénal sur les atteintes aux systèmes de traitement automatisé de données peuvent être mobilisées en cas d’accès contournant des mesures techniques. Le présent article se concentre sur le RGPD, mais gardez en tête que la conformité « données personnelles » ne préjuge pas de ces autres couches.

Quelle base légale pour le scraping ?

Tout traitement suppose une base légale parmi celles de l’article 6. Passons-les en revue dans le contexte du scraping.

Le consentement est en pratique inatteignable : on ne peut pas recueillir le consentement de milliers de personnes dont on aspire les données à leur insu. Le contrat ne s’applique pas, faute de relation contractuelle avec les personnes concernées. L’obligation légale, la mission d’intérêt public et la sauvegarde des intérêts vitaux sont hors sujet dans la quasi-totalité des cas commerciaux.

Reste l’intérêt légitime (Art. 6.1.f), qui est le fondement le plus fréquemment invoqué — et le seul plausible pour la plupart des projets de scraping. Mais l’intérêt légitime n’est pas un blanc-seing : il exige un triple test documenté.

Étape du triple test Question à trancher Application au scraping
Légitimité de l’intérêt L’intérêt poursuivi est-il réel et licite ? Veille, développement produit… à formuler précisément
Nécessité Le scraping est-il nécessaire, sans alternative moins intrusive ? Peut-on limiter la collecte, l’échantillon, les champs ?
Mise en balance L’intérêt prévaut-il sur les droits et attentes des personnes ? Les personnes s’attendaient-elles à cet usage ? Impact ?

C’est la mise en balance qui pose le plus de difficultés. Une personne qui publie son numéro professionnel sur un annuaire s’attend à être contactée dans un cadre professionnel ; elle ne s’attend pas à voir ses données agrégées, profilées et revendues. Plus l’usage s’éloigne du contexte initial de publication, plus la balance penche en faveur des personnes — et plus le scraping devient fragile. Documenter ce raisonnement n’est pas optionnel : c’est la pièce qui, en cas de contrôle, distingue un traitement réfléchi d’une aspiration sauvage.

L’obligation reine : l’information au titre de l’article 14

Voici le point que presque tous les projets de scraping négligent, et qui est pourtant central. Lorsque les données ne sont pas collectées directement auprès de la personne — ce qui est par définition le cas du scraping — c’est l’article 14 du RGPD qui s’applique, et non l’article 13.

L’article 14 impose de fournir aux personnes concernées une information sur l’identité du responsable, les finalités, la base légale, les catégories de données, les destinataires, la durée de conservation, leurs droits — et la source dont proviennent les données. Le calendrier est précis : cette information doit intervenir dans un délai raisonnable, au plus tard un mois après l’obtention des données ; ou au moment de la première communication avec la personne si les données servent à la contacter ; ou lors de la première communication à un autre destinataire.

L’article 14.5 prévoit des exceptions, notamment lorsque l’information « se révèle impossible ou exigerait des efforts disproportionnés ». Attention : la CNIL et le Comité européen de la protection des données interprètent cette dérogation de façon restrictive. « Coûteux » ne signifie pas « disproportionné ». Et même en cas de dérogation, le responsable doit prendre des mesures appropriées — typiquement, publier une notice d’information accessible. Se dispenser purement et simplement d’informer est le manquement qui revient le plus souvent dans les décisions de sanction visant le scraping.

Concrètement, un projet de scraping conforme doit prévoir, dès sa conception : une notice d’information publique conforme à l’article 14, un mécanisme permettant aux personnes d’exercer leurs droits (accès, opposition, effacement), et une évaluation sérieuse de la faisabilité d’une information individuelle. Faire l’impasse sur ce volet, c’est se placer d’emblée en infraction.

Le piège des données sensibles

Le scraping capture souvent, par ricochet, des données sensibles au sens de l’article 9 : opinions politiques, appartenance syndicale, orientation, données de santé, ou données biométriques. Or l’article 9 pose un principe d’interdiction, assorti d’exceptions étroites. Le fait qu’une personne ait « manifestement rendu publiques » ses données (Art. 9.2.e) peut lever l’interdiction — mais cette exception s’interprète strictement et suppose un acte de publication volontaire et non équivoque par la personne elle-même.

C’est précisément là qu’a achoppé l’affaire la plus emblématique du domaine. Aspirer des photographies de visages accessibles en ligne pour en extraire des gabarits biométriques revient à traiter des données sensibles à des fins d’identification, sans base valable — l’exception de publication manifeste ne couvrant pas cette réutilisation.

L’affaire Clearview AI : la jurisprudence de référence

Clearview AI est l’illustration la plus nette des limites du scraping. Cette société a constitué une base de plusieurs milliards d’images de visages aspirées sur Internet et les réseaux sociaux, pour alimenter un moteur de reconnaissance faciale vendu à des clients, notamment des forces de l’ordre.

En octobre 2022, la CNIL a prononcé à son encontre une sanction de 20 millions d’euros, après une mise en demeure restée sans effet. Les manquements retenus, tels qu’ils ressortent de la décision publiée, portaient notamment sur : l’absence de base légale au traitement de données biométriques aspirées, l’ampleur et l’intrusion de la collecte sans information ni consentement des personnes, et le non-respect des droits des personnes concernées (accès, effacement). La société n’ayant pas obtempéré, la CNIL a par la suite assorti son injonction d’une astreinte.

Clearview n’a pas été sanctionnée par la seule CNIL : plusieurs autorités européennes ont prononcé des décisions convergentes. Le message commun est clair : le caractère « public » des visages en ligne ne fonde aucun droit à les aspirer pour construire un outil d’identification biométrique. Cette affaire fait aujourd’hui figure de référence chaque fois qu’un projet de scraping touche à des données sensibles.

Scraping et prospection commerciale : une combinaison à haut risque

Constituer un fichier de prospection par scraping (adresses e-mail, numéros de téléphone) est l’un des usages les plus fréquents — et l’un des plus exposés. Deux régimes se cumulent.

Sur le terrain du RGPD, la constitution du fichier suppose une base légale et l’information article 14. Sur le terrain de la prospection électronique, les règles de l’opt-in / opt-out s’ajoutent : la prospection par e-mail auprès de particuliers exige en principe leur consentement préalable ; la prospection B2B vers des adresses professionnelles nominatives peut reposer sur l’intérêt légitime, mais uniquement si l’objet de la sollicitation est en rapport avec la fonction de la personne, et à condition de l’informer et de lui offrir un droit d’opposition simple.

Scraper des e-mails pour les démarcher à froid, sans information ni possibilité de refus, cumule donc deux manquements. La CNIL a sanctionné à plusieurs reprises l’achat ou la collecte de fichiers de prospection sans information des personnes. Le scraping ne change rien à ce constat : il l’aggrave, car la personne n’a même pas conscience que ses données ont été collectées.

Scraping pour l’entraînement d’une IA

L’entraînement de modèles d’IA sur des données aspirées du web est devenu le front le plus actif. Le principe reste le même : les données personnelles présentes dans un jeu d’entraînement relèvent du RGPD, y compris lorsqu’elles ont été rendues publiques. Le Comité européen de la protection des données a rendu, fin 2024, un avis sur le traitement de données personnelles dans les modèles d’IA, qui encadre notamment le recours à l’intérêt légitime pour le développement et le déploiement de ces modèles.

La CNIL, de son côté, a publié des recommandations sur le développement des systèmes d’IA (voir nos recommandations IA de la CNIL). Les lignes directrices convergent : formaliser un intérêt légitime avec triple test, minimiser la collecte, exclure autant que possible les données sensibles, informer les personnes au titre de l’article 14, permettre l’opposition, et écarter certaines sources (sites interdisant explicitement l’extraction, contenus manifestement sensibles). Le développement responsable d’une IA suppose aussi, dans bien des cas, une analyse d’impact dédiée. Autrement dit, le scraping pour l’IA n’est pas interdit — mais il est encadré, documenté, et loin du « tout est permis » longtemps supposé.

Erreurs fréquentes

  • « C’est public, donc libre. » Le mythe fondateur. Faux : le RGPD s’applique aux données publiques.
  • Ignorer l’article 14. Ne prévoir aucune information des personnes est le manquement le plus systématiquement relevé.
  • Invoquer l’intérêt légitime sans triple test. L’intérêt légitime allégué mais non documenté ne tient pas devant la CNIL.
  • Aspirer des données sensibles. Photos de visages, opinions, santé : l’article 9 s’invite très vite, avec un risque majeur.
  • Scraper pour prospecter à froid. Double manquement RGPD + règles de prospection électronique.
  • Confondre conformité RGPD et respect des CGU. Un scraping peut être toléré côté RGPD et interdit contractuellement, ou l’inverse.

Documenter, pour chaque source aspirée, le triple test, la notice d’information article 14 et l’inscription au registre relève vite d’un travail de fond. Un logiciel RGPD permet d’industrialiser la tenue du registre des traitements et la traçabilité des bases légales, ce qui rend un projet de scraping démontrable en cas de contrôle.

Foire aux questions

Le scraping de données personnelles est-il illégal en soi ?

Non, pas par principe. Le scraping est un traitement de données personnelles : il est licite s’il respecte les conditions du RGPD — base légale (généralement l’intérêt légitime avec triple test documenté), finalité déterminée, minimisation, exclusion des données sensibles, et surtout information des personnes au titre de l’article 14. C’est l’absence de ces garanties, très fréquente en pratique, qui rend la plupart des scrapings illicites, pas la technique elle-même. Un scraping conçu avec ces exigences dès le départ peut être défendable.

Puis-je aspirer des profils LinkedIn ou des annuaires professionnels ?

Le fait que ces données soient professionnelles et visibles ne les fait pas sortir du RGPD. Vous devez fonder la collecte sur une base légale, informer les personnes (article 14) et respecter leurs droits. La mise en balance de l’intérêt légitime est déterminante : un usage proche du contexte de publication (contact professionnel ponctuel) est plus défendable qu’une agrégation massive suivie de profilage ou de revente. Par ailleurs, les conditions d’utilisation de ces plateformes interdisent souvent l’extraction automatisée, ce qui ajoute un risque contractuel distinct du RGPD.

Que dit l’affaire Clearview AI exactement ?

Clearview AI avait constitué une base de milliards d’images de visages aspirées en ligne pour un moteur de reconnaissance faciale. En octobre 2022, la CNIL lui a infligé une amende de 20 millions d’euros, retenant notamment l’absence de base légale au traitement de données biométriques, une collecte massive sans information ni consentement, et le non-respect des droits des personnes. Faute d’exécution, une astreinte a suivi. Plusieurs autres autorités européennes ont statué dans le même sens. La leçon : le caractère public des visages ne justifie pas leur aspiration à des fins d’identification biométrique.

Dois-je vraiment informer chaque personne dont j’ai scrapé les données ?

L’article 14 impose une information, au plus tard un mois après la collecte, ou dès la première prise de contact. Une dérogation existe si l’information « exige des efforts disproportionnés » — mais elle s’interprète strictement, et même dans ce cas vous devez prendre des mesures appropriées, comme publier une notice d’information accessible. En pratique, prévoyez systématiquement une notice article 14 et un canal permettant l’exercice des droits. Ne rien prévoir n’est pas une option défendable.

Le scraping pour entraîner une IA est-il autorisé ?

Il n’est pas interdit, mais il est encadré. Les données personnelles présentes dans un jeu d’entraînement relèvent du RGPD, même publiques. Les autorités — avis du Comité européen de la protection des données de fin 2024, recommandations de la CNIL — admettent le recours à l’intérêt légitime, sous conditions : triple test, minimisation, exclusion des données sensibles, information article 14, droit d’opposition, exclusion de certaines sources. Une analyse d’impact est souvent nécessaire. Le « tout est permis » n’a jamais existé juridiquement pour l’entraînement d’IA sur données scrapées.

Puis-je utiliser des e-mails scrapés pour de la prospection ?

C’est l’un des usages les plus risqués. Deux régimes se cumulent : le RGPD (base légale, information article 14) et les règles de prospection électronique. La prospection par e-mail vers des particuliers suppose en principe leur consentement préalable ; la prospection B2B vers des adresses professionnelles nominatives peut s’appuyer sur l’intérêt légitime, mais seulement si l’objet est en lien avec la fonction de la personne, avec information et droit d’opposition. Démarcher à froid des adresses scrapées, sans information ni possibilité de refus, cumule les manquements et expose à sanction.


Le scraping est un terrain miné : mieux vaut cadrer un projet en amont que régulariser après un contrôle. Pour suivre l’actualité RGPD et IA, abonnez-vous à la newsletter.

Thiébaut Devergranne
Docteur en droit des nouvelles technologies (Paris II)

Docteur en droit, Thiébaut Devergranne travaille en droit des nouvelles technologies et en protection des données personnelles depuis plus de 20 ans. Il a accompagné des centaines d'organisations dans leur mise en conformité RGPD et est le fondateur de Legiscope, logiciel de conformité RGPD.

En savoir plus sur l'auteur →